*감염
경로
파일
자체에는
스스로
확산되는
기능은
없으며,
사용자가
인터넷을
통해
메일,
게시판,
자료실
등에서
실행파일을
다운로드
해
실행되는
것으로
추정,
또한
다른
악성코드에
의해
인터넷에서
다운로드
되거나
감염되는
것으로
추정
*증상
-파일
생성
alg.exe (Trojan-W32/OnLineGames.34815.B)
라는
파일이
실행되면
윈도우
시스템
폴더에
oksound.dll(Trojan-W32/Nilage.90112.E)라는
파일을
생성한다.
-윈도우
시스템
폴더란?
-
윈도우
95/98/ME -
C:\Windows\System,
-
윈도우
NT/2000
-C:\WinNT\System32
-
윈도우
XP
- C:\Windows\System32
-레지스트리
등록
LSP(Layered Service Providers) 등록
아래의 레지값을 변경하여 인터넷 실행시 okviewer4.dll이 실행되도록 한다.
okviewer4.dll삭제시 lsp값을 복구 시켜줘야 정상적으로 네트워크 사용이 가능하다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2
\Parameters\Protocol_Catalog9\Catalog_Entries
- 해당 트로이안은 실행중인 모든 프로세스에
강제로 주입 시킨다. 감염된
시스템의
사용자가
특정
온라인
게임에
접속하여
사용자
아이디와
암호를
입력하면
이
입력된
정보를
특정
메일
주소로
전송한다. |